JPCERT コーディネーションセンター

Weekly Report 2020-10-21号

JPCERT-WR-2020-4101
JPCERT/CC
2020-10-21

<<< JPCERT/CC WEEKLY REPORT 2020-10-21 >>>

■10/11(日)〜10/17(土) のセキュリティ関連情報

目 次

【1】複数の Microsoft 製品に脆弱性

【2】複数の Adobe 製品に脆弱性

【3】Apache Tomcat に HTTP/2 リクエスト処理の不備に起因する情報漏えいの脆弱性

【4】Acronis 製バックアップソフトウェアに複数の脆弱性

【5】複数の Juniper 製品に脆弱性

【6】Intel 製 BlueZ に複数の脆弱性

【7】複数の SAP 製品に脆弱性

【8】WordPress 用プラグイン Live Chat - Live support にクロスサイトリクエストフォージェリの脆弱性

【9】Internet Week 2020 開催のお知らせ

【今週のひとくちメモ】総務省が「特別定額給付金の給付を騙ったメールに対する注意喚起」を公開

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2020/wr204101.txt
https://www.jpcert.or.jp/wr/2020/wr204101.xml

【1】複数の Microsoft 製品に脆弱性

情報源

CISA Current Activity
Microsoft Releases October 2020 Security Updates
https://us-cert.cisa.gov/ncas/current-activity/2020/10/13/microsoft-releases-october-2020-security-updates

CISA Current Activity
Microsoft Addresses Windows TCP/IP RCE/DoS Vulnerability
https://us-cert.cisa.gov/ncas/current-activity/2020/10/14/microsoft-addresses-windows-tcpip-rcedos-vulnerability

CISA Current Activity
Microsoft Releases Security Updates to Address Remote Code Execution Vulnerabilities
https://us-cert.cisa.gov/ncas/current-activity/2020/10/16/microsoft-releases-security-updates-address-remote-code-execution

概要

複数の Microsoft 製品には、脆弱性があります。結果として、遠隔の第三者
が任意のコードを実行するなどの可能性があります。

対象となる製品は次のとおりです。

- Microsoft Windows
- Microsoft Office、Microsoft Office Services および Web Apps
- Microsoft Jet データベース エンジン
- Azure Functions
- オープン ソース ソフトウェア
- Microsoft Exchange Server
- Visual Studio
- PowerShellGet
- Microsoft .NET Framework
- Microsoft Dynamics
- Adobe Flash Player
- Microsoft Windows Codecs Library
- Visual Studio Code

この問題は、Microsoft Update などを用いて、更新プログラムを適用するこ
とで解決します。詳細は、Microsoft が提供する情報を参照してください。

関連文書 (日本語)

マイクロソフト株式会社
2020 年 10 月のセキュリティ更新プログラム
https://portal.msrc.microsoft.com/ja-jp/security-guidance/releasenotedetail/2020-Oct

マイクロソフト株式会社
CVE-2020-17022 | Microsoft Windows Codecs Library のリモートでコードが実行される脆弱性
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2020-17022

マイクロソフト株式会社
CVE-2020-17023 | Visual Studio JSON のリモートでコードが実行される脆弱性
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2020-17023

JPCERT/CC 注意喚起
2020年10月マイクロソフトセキュリティ更新プログラムに関する注意喚起
https://www.jpcert.or.jp/at/2020/at200038.html

【2】複数の Adobe 製品に脆弱性

情報源

CISA Current Activity
Adobe Releases Security Updates for Flash Player
https://us-cert.cisa.gov/ncas/current-activity/2020/10/14/adobe-releases-security-updates-flash-player

CISA Current Activity
Adobe Releases Security Updates for Magento
https://us-cert.cisa.gov/ncas/current-activity/2020/10/16/adobe-releases-security-updates-magento

概要

複数の Adobe 製品には脆弱性があります。結果として、遠隔の第三者が、任
意のコードを実行したり、機密情報を窃取したりするなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Adobe Flash Player Desktop Runtime (32.0.0.433) およびそれ以前のバージョン (Windows, macOS および Linux)
- Adobe Flash Player for Google Chrome (32.0.0.433) およびそれ以前のバージョン (Windows, macOS, Linux および Chrome OS)
- Adobe Flash Player for Microsoft Edge and Internet Explorer 11 (32.0.0.387) およびそれ以前のバージョン (Windows 10 および Windows 8.1)
- Magento Commerce 2.3.5-p1 およびそれ以前のバージョン
- Magento Commerce 2.3.5-p2 およびそれ以前のバージョン
- Magento Commerce 2.4.0 およびそれ以前のバージョン
- Magento Open Source 2.3.5-p1 およびそれ以前のバージョン
- Magento Open Source 2.3.5-p2 およびそれ以前のバージョン
- Magento Open Source 2.4.0 およびそれ以前のバージョン

この問題は、該当する製品を Adobe が提供する修正済みのバージョンに更新する
ことで解決します。詳細は、Adobe が提供する情報を参照してください。

関連文書 (日本語)

JPCERT/CC 注意喚起
Adobe Flash Player の脆弱性 (APSB20-58) に関する注意喚起
https://www.jpcert.or.jp/at/2020/at200039.html

JPCERT/CC CyberNewsFlash
Magento に関するアップデート (APSB20-59) について
https://www.jpcert.or.jp/newsflash/2020101601.html

関連文書 (英語)

Adobe
Security updates available for Adobe Flash Player | APSB20-58
https://helpx.adobe.com/security/products/flash-player/apsb20-58.html

Adobe
Security Updates Available for Magento | APSB20-59
https://helpx.adobe.com/security/products/magento/apsb20-59.html

Magento
Magento Commerce 2.4.1 Release Notes
https://devdocs.magento.com/guides/v2.4/release-notes/commerce-2-4-1.html

Magento
Magento Commerce 2.3.6 Release Notes
https://devdocs.magento.com/guides/v2.3/release-notes/commerce-2-3-6.html

【3】Apache Tomcat に HTTP/2 リクエスト処理の不備に起因する情報漏えいの脆弱性

情報源

CISA Current Activity
Apache Releases Security Updates for Apache Tomcat
https://us-cert.cisa.gov/ncas/current-activity/2020/10/14/apache-releases-security-updates-apache-tomcat

Japan Vulnerability Notes JVNVU#97307781
Apache Tomcat における HTTP/2 リクエスト処理の不備に起因する情報漏えいの脆弱性
https://jvn.jp/vu/JVNVU97307781/

概要

Apache Software Foundation が提供する Apache Tomcat には、HTTP/2 リク
エスト処理の不備に起因する情報漏えいの脆弱性が存在します。結果として、
遠隔の第三者が細工された HTTP/2 リクエストを送信し、予期しないリソース
への応答を誘発することで、情報を窃取する可能性があります。

対象となるバージョンは次のとおりです。

- Apache Tomcat 10.0.0-M1 から 10.0.0-M7 まで
- Apache Tomcat 9.0.0.M1 から 9.0.37 まで
- Apache Tomcat 8.5.0 から 8.5.57 まで

この問題は、Apache Tomcat を Apache Software Foundation が提供する修正
済みのバージョンに更新することで解決します。詳細は Apache Software
Foundation が提供する情報を参照してください。

関連文書 (英語)

Apache Software Foundation
Fixed in Apache Tomcat 10.0.0-M8
https://tomcat.apache.org/security-10.html#Fixed_in_Apache_Tomcat_10.0.0-M8

Apache Software Foundation
Fixed in Apache Tomcat 9.0.38
https://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.38

Apache Software Foundation
Fixed in Apache Tomcat 8.5.58
https://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.5.58

【4】Acronis 製バックアップソフトウェアに複数の脆弱性

情報源

CERT/CC Vulnerability Note VU#114757
Acronis backup software contains multiple privilege escalation vulnerabilities
https://kb.cert.org/vuls/id/114757

概要

Acronis が提供する バックアップソフトウェアには、複数の脆弱性がありま
す。結果として、第三者が任意のコードを実行する可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Acronis True Image 2021 ビルド番号 32010 より前のバージョン
- Acronis Cyber Backup 12.5 ビルド番号 16363 より前のバージョン
- Acronis Cyber Protect 15 ビルド番号 24600 より前のバージョン

この問題は、該当する製品を Acronis が提供する修正済みのバージョンに更
新することで解決します。詳細は Acronis が提供する情報を参照してくださ
い。

関連文書 (日本語)

Japan Vulnerability Notes JVNVU#92288299
Acronis 製の複数のバックアップソフトウェアに DLL 読み込みに関する脆弱性
https://jvn.jp/vu/JVNVU92288299/

JPCERT/CC CyberNewsFlash
Acronis製バックアップソフトウェアの複数の脆弱性について
https://www.jpcert.or.jp/newsflash/2020101301.html

関連文書 (英語)

Acronis
Acronis True Image 2021 Update 1 for Windows
https://www.acronis.com/ja-jp/support/updates/changes.html?p=42226

Acronis
Release notes for Acronis Cyber Backup 12.5 Update 5
https://dl.managed-protection.com/u/backup/rn/12.5/user/en-US/AcronisBackup12.5_relnotes.htm

Acronis
Release notes for Acronis Cyber Protect 15
https://dl.managed-protection.com/u/cyberprotect/rn/15/user/en-US/AcronisCyberProtect15_relnotes.htm

【5】複数の Juniper 製品に脆弱性

情報源

CISA Current Activity
Juniper Networks Releases Security Updates for Multiple Products
https://us-cert.cisa.gov/ncas/current-activity/2020/10/15/juniper-networks-releases-security-updates-multiple-products

概要

複数の Juniper 製品には、脆弱性があります。結果として、遠隔の第三者が、
任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりするな
どの可能性があります。

対象となる製品は次のとおりです。

- Junos OS
- Junos OS Evolved
- Junos Space and Junos Space Security Director
- Juniper Secure Analytics
- Mist Cloud User Interface
- SBR Carrier
- Juniper Identity Management System
- Contrail Networking

この問題は、該当する製品を Juniper が提供する修正済みのバージョンに更
新することで解決します。詳細は、Juniper が提供する情報を参照してくださ
い。

関連文書 (英語)

Juniper Networks
Security Advisories (2020-10 Security Bulletin)
https://kb.juniper.net/InfoCenter/index?page=content&channel=SECURITY_ADVISORIES

【6】Intel 製 BlueZ に複数の脆弱性

情報源

Japan Vulnerability Notes JVNVU#90263580
Intel 製 BlueZ に複数の脆弱性
https://jvn.jp/vu/JVNVU90263580/

概要

Intel が提供する BlueZ には、複数の脆弱性があります。結果として、隣接
するネットワークの第三者が権限昇格を行うなどの可能性があります。

対象となるバージョンは次のとおりです。

- BlueZ をサポートする Linux Kernel 5.9 より前のすべてのバージョン

この問題は、BlueZ を Intel が提供する修正済みのバージョンに更新することで解決し
ます。詳細は Intel が提供する情報を参照してください。

関連文書 (日本語)

JPCERT/CC CyberNewsFlash
Intel 製品に関する複数の脆弱性について
https://www.jpcert.or.jp/newsflash/2020101401.html

関連文書 (英語)

Intel
INTEL-SA-00435: BlueZ Advisory
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00435.html

【7】複数の SAP 製品に脆弱性

情報源

CISA Current Activity
SAP Releases October 2020 Security Updates
https://us-cert.cisa.gov/ncas/current-activity/2020/10/13/sap-releases-october-2020-security-updates

概要

複数の SAP 製品には、脆弱性があります。結果として、遠隔の第三者が当該
製品を制御するなどの可能性があります。

対象となる製品は次のとおりです。

- SAP Solution Manager (CA Introscope Enterprise Manager) および SAP Focused Run (CA Introscope Enterprise Manager)
- SAP NetWeaver Enterprise Portal (Fiori Framework Page)
- SAP NetWeaver Composite Application Framework
- SAP NetWeaver AS JAVA (ENGINEAPI および J2EE-FRMW)
- SAP NetWeaver Application Server Java
- SAP NetWeaver Application Server ABAP (POWL test application)
- SAP NetWeaver (DI Design Time Repository)
- SAP NetWeaver (Compare Systems)
- SAP NetWeaver (ABAP Server) および ABAP Platform
- SAP Landscape Management
- SAP ERP (HCM Travel Management)
- SAP Commerce Cloud
- SAP BusinessObjects Business Intelligence Platform (Web Services)
- SAP Business Planning および Consolidation
- SAP Business Objects Business Intelligence Platform
- SAP Business Client
- SAP Banking Services
- SAP Adaptive Extensions
- SAP 3D Visual Enterprise Viewer
- CA Introscope Enterprise Manager (Affected products: SAP Solution Manager および SAP Focused Run)

この問題は、該当する製品を SAP が提供する修正済みのバージョンに更新す
ることで解決します。詳細は、SAP が提供する情報を参照してください。

関連文書 (英語)

SAP
SAP Security Patch Day - October 2020
https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=558632196

【8】WordPress 用プラグイン Live Chat - Live support にクロスサイトリクエストフォージェリの脆弱性

情報源

Japan Vulnerability Notes JVN#92404841
WordPress 用プラグイン Live Chat - Live support におけるクロスサイトリクエストフォージェリの脆弱性
https://jvn.jp/jp/JVN92404841/

概要

WordPress 用プラグイン Live Chat - Live support には、クロスサイトリクエ
ストフォージェリの脆弱性があります。結果として、遠隔の第三者が、細工し
たページにユーザをアクセスさせることにより、該当する製品の管理画面にロ
グインしているユーザの権限で任意の操作を行う可能性があります。

対象となるバージョンは次のとおりです。

- Live Chat - Live support バージョン 3.1.0 およびそれ以前のバージョン

この問題は、Live Chat - Live support を開発者が提供する修正済みのバージ
ョンに更新することで解決します。詳細は、開発者が提供する情報を参照して
ださい。

関連文書 (英語)

WordPress
Live Chat - Live support
https://wordpress.org/plugins/onwebchat/

Social Rocket
Products
https://wpsocialrocket.com/products/

【9】Internet Week 2020 開催のお知らせ

情報源

一般社団法人日本ネットワークインフォメーションセンター (JPNIC)
Internet Week 2020
https://www.nic.ad.jp/iw2020/

一般社団法人日本ネットワークインフォメーションセンター (JPNIC)
参加申込
https://www.nic.ad.jp/iw2020/apply/main/

概要

2020年11月17日 (火) から27日 (金) まで、一般社団法人日本ネットワークイン
フォメーションセンター (JPNIC) は、「Internet Week 2020」をオンライン
で開催します。インターネットに関する技術の研究・開発、 構築・運用・サ
ービスに関わる人々が、主にインターネットの基盤技術の基礎知識や最新動向
を学び、議論し、理解と交流を深めるためのイベントです。JPCERT/CC は本カ
ンファレンスを後援しています。 

事前申込みの締め切りは 11月13日 (金) 17:00 までとなっております。詳細
は、JPNIC が提供する情報を確認してください。

■今週のひとくちメモ

○総務省が「特別定額給付金の給付を騙ったメールに対する注意喚起」を公開

2020年10月15日、総務省は、「特別定額給付金の給付を騙ったメールに対する
注意喚起」を公開しました。総務省を騙るメールアドレスから、「二回目特別
定額給付金の特設サイトを開設しました。」といった旨及び偽の特設サイトに
誘導するリンクが含まれたメールが送信されているといった情報が寄せられて
いるとのことです。情報の詐取を目的としたものと考えられますのでご注意く
ださい。

参考文献 (日本語)

総務省
特別定額給付金の給付を騙ったメールに対する注意喚起
https://www.soumu.go.jp/menu_kyotsuu/important/kinkyu02_000438.html

フィッシング対策協議会
特別定額給付金に関する通知を装うフィッシング (2020/10/15)
https://www.antiphishing.jp/news/alert/kyufukin_20201015.html

■JPCERT/CC からのお願い

  • 本レポートに関するお問い合わせは ew-info@jpcert.or.jp 宛 にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
    https://www.jpcert.or.jp/wr/
  • 本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
    https://www.jpcert.or.jp/announce.html
  • JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。
    https://www.jpcert.or.jp/form/

Topへ

Topへ

最新情報(RSSメーリングリストTwitter